Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Fortinet FortiAnalyzer

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter et ingérer des journaux Fortinet FortiAnalyzer dans Google Security Operations à l'aide de Bindplane. L'analyseur transforme les journaux au format UDM. Il gère les messages au format CEF et clé-valeur, extrait les champs, effectue des transformations de données (comme la conversion des codes temporels et l'enrichissement des protocoles IP), et les mappe aux champs UDM appropriés en fonction du type et du sous-type d'événement. L'analyseur inclut également une logique spécifique pour gérer les connexions réseau, les requêtes DNS, les requêtes HTTP et divers événements de sécurité. Il enrichit les données UDM avec des détails tels que les protocoles d'application, les informations sur les utilisateurs et les résultats de sécurité.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Fortinet FortiAnalyzer.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur Fortinet FortiAnalyzer

Connectez-vous à FortiAnalyzer.
Activez le mode CLI.

Exécutez les commandes suivantes :

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

Mettez à jour les champs suivants :
- NAME : nom du serveur syslog.
- IP_ADDRESS : saisissez l'adresse IPv4 de l'agent Bindplane.
- PORT : saisissez le numéro de port de l'agent Bindplane (par exemple, 514).
- enable or disable : si vous définissez la valeur de "reliable" sur "enable", le message est envoyé en tant que TCP. Si vous définissez la valeur de "reliable" sur "disable", le message est envoyé en tant que UDP.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`act`	`security_result.action_details`	Valeur du champ `act` lorsque le journal est au format CEF.
`action`	`security_result.action_details`	Valeur du champ `action` lorsque le journal n'est pas au format CEF. Utilisé pour dériver `security_result.action` et `security_result.description`.
`action`	`security_result.action`	Dérivé. Si `action` est `accept`, `passthrough`, `pass`, `permit`, `detected` ou `login`, alors `ALLOW`. Si `deny`, `dropped`, `blocked` ou `close`, alors `BLOCK`. Si `timeout`, alors `FAIL`. Dans le cas contraire, `UNKNOWN_ACTION`.
`action`	`security_result.description`	Dérivé. Défini sur `Action:` + `security_result.action` dérivé.
`ad.app`	`target.application`	Valeur du champ `ad.app` lorsque le journal est au format CEF. Si la valeur est `HTTPS`, `HTTP`, `DNS`, `DHCP` ou `SMB`, elle est mappée sur `network.application_protocol`.
`ad.appact`	`additional.fields`	Valeur du champ `ad.appact` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `appact`.
`ad.appcat`	`additional.fields`	Valeur du champ `ad.appcat` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `appcat`.
`ad.appid`	`additional.fields`	Valeur du champ `ad.appid` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `appid`.
`ad.applist`	`additional.fields`	Valeur du champ `ad.applist` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `applist`.
`ad.apprisk`	`additional.fields`	Valeur du champ `ad.apprisk` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `apprisk`.
`ad.cipher_suite`	`network.tls.cipher`	Valeur du champ `ad.cipher_suite` lorsque le journal est au format CEF.
`ad.countapp`	(non mappé)	Non mappé à l'objet IDM.
`ad.countweb`	(non mappé)	Non mappé à l'objet IDM.
`ad.dstcity`	`target.location.city`	Valeur du champ `ad.dstcity` lorsque le journal est au format CEF.
`ad.dstcountry`	`target.location.country_or_region`	Valeur du champ `ad.dstcountry` lorsque le journal est au format CEF.
`ad.dstintf`	`security_result.detection_fields`	Valeur du champ `ad.dstintf` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `dstintf`.
`ad.dstintfrole`	`security_result.detection_fields`	Valeur du champ `ad.dstintfrole` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `dstintfrole`.
`ad.dstregion`	`target.location.state`	Valeur du champ `ad.dstregion` lorsque le journal est au format CEF.
`ad.duration`	`network.session_duration.seconds`	Valeur du champ `ad.duration` lorsque le journal est au format CEF.
`ad.eventtime`	`metadata.event_timestamp`	Valeur du champ `ad.eventtime` lorsque le journal est au format CEF.
`ad.http_agent`	`network.http.parsed_user_agent`	Valeur du champ `ad.http_agent` lorsque le journal est au format CEF.
`ad.http_method`	`network.http.method`	Valeur du champ `ad.http_method` lorsque le journal est au format CEF.
`ad.http_refer`	`network.http.referral_url`	Valeur du champ `ad.http_refer` lorsque le journal est au format CEF.
`ad.http_request_bytes`	`network.sent_bytes`	Valeur du champ `ad.http_request_bytes` lorsque le journal est au format CEF.
`ad.http_response_bytes`	`network.received_bytes`	Valeur du champ `ad.http_response_bytes` lorsque le journal est au format CEF.
`ad.http_retcode`	(non mappé)	Non mappé à l'objet IDM.
`ad.http_url`	(non mappé)	Non mappé à l'objet IDM.
`ad.lanin`	(non mappé)	Non mappé à l'objet IDM.
`ad.lanout`	(non mappé)	Non mappé à l'objet IDM.
`ad.logid`	`metadata.product_log_id`	Valeur du champ `ad.logid` lorsque le journal est au format CEF.
`ad.mastersrcmac`	`principal.mac`	Valeur du champ `ad.mastersrcmac` lorsque le journal est au format CEF.
`ad.original_src`	(non mappé)	Non mappé à l'objet IDM.
`ad.original_srccountry`	(non mappé)	Non mappé à l'objet IDM.
`ad.poluuid`	(non mappé)	Non mappé à l'objet IDM.
`ad.policyid`	`security_result.rule_id`	Valeur du champ `ad.policyid` lorsque le journal est au format CEF.
`ad.policyname`	`security_result.rule_name`	Valeur du champ `ad.policyname` lorsque le journal est au format CEF.
`ad.policytype`	`security_result.rule_type`	Valeur du champ `ad.policytype` lorsque le journal est au format CEF.
`ad.profile`	`target.resource.name`	Valeur du champ `ad.profile` lorsque le journal est au format CEF. Définit également `target.resource.resource_type` sur `ACCESS_POLICY`.
`ad.proto`	`network.ip_protocol`	Valeur du champ `ad.proto` lorsque le journal est au format CEF. Analysé à l'aide du fichier `parse_ip_protocol.include`.
`ad.qclass`	`network.dns.questions.class`	Valeur du champ `ad.qclass` lorsque le journal est au format CEF. Mappé à l'aide du fichier `dns_query_class_mapping.include`.
`ad.qname`	`network.dns.questions.name`	Valeur du champ `ad.qname` lorsque le journal est au format CEF.
`ad.qtype`	(non mappé)	Non mappé à l'objet IDM.
`ad.qtypeval`	`network.dns.questions.type`	Valeur du champ `ad.qtypeval` lorsque le journal est au format CEF.
`ad.rcvddelta`	(non mappé)	Non mappé à l'objet IDM.
`ad.rcvdpkt`	`additional.fields`	Valeur du champ `ad.rcvdpkt` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `receivedPackets`.
`ad.sentdelta`	(non mappé)	Non mappé à l'objet IDM.
`ad.sentpkt`	`additional.fields`	Valeur du champ `ad.sentpkt` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `sentPackets`.
`ad.server_pool_name`	(non mappé)	Non mappé à l'objet IDM.
`ad.sourceTranslatedAddress`	`principal.nat_ip`	Valeur du champ `ad.sourceTranslatedAddress` lorsque le journal est au format CEF.
`ad.sourceTranslatedPort`	`principal.nat_port`	Valeur du champ `ad.sourceTranslatedPort` lorsque le journal est au format CEF.
`ad.src`	`principal.ip`	Valeur du champ `ad.src` lorsque le journal est au format CEF.
`ad.srccountry`	`principal.location.country_or_region`	Valeur du champ `ad.srccountry` lorsque le journal est au format CEF.
`ad.srcintf`	`security_result.detection_fields`	Valeur du champ `ad.srcintf` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `srcintf`.
`ad.srcintfrole`	`security_result.detection_fields`	Valeur du champ `ad.srcintfrole` lorsque le journal est au format CEF, ajoutée sous forme de paire clé-valeur avec la clé `srcintfrole`.
`ad.srcmac`	`principal.mac`	Valeur du champ `ad.srcmac` lorsque le journal est au format CEF.
`ad.srcserver`	(non mappé)	Non mappé à l'objet IDM.
`ad.spt`	`principal.port`	Valeur du champ `ad.spt` lorsque le journal est au format CEF.
`ad.status`	`security_result.summary`	Valeur du champ `ad.status` lorsque le journal est au format CEF.
`ad.subtype`	`metadata.product_event_type`	Utilisé avec `ad.logid` pour créer `metadata.product_event_type` lorsque le journal est au format CEF. Également utilisé pour dériver `metadata.event_type` et mapper des champs spécifiques pour les événements DNS et HTTP.
`ad.trandisp`	(non mappé)	Non mappé à l'objet IDM.
`ad.tz`	(non mappé)	Non mappé à l'objet IDM.
`ad.utmaction`	`security_result.action`	Valeur du champ `ad.utmaction` lorsque le journal est au format CEF. Utilisé pour dériver `security_result.action` et `security_result.description`.
`ad.user_name`	(non mappé)	Non mappé à l'objet IDM.
`ad.vd`	`principal.administrative_domain`	Valeur du champ `ad.vd` lorsque le journal est au format CEF.
`ad.vwlid`	(non mappé)	Non mappé à l'objet IDM.
`ad.wanin`	(non mappé)	Non mappé à l'objet IDM.
`ad.wanout`	(non mappé)	Non mappé à l'objet IDM.
`ad.xid`	(non mappé)	Non mappé à l'objet IDM.
`ad.x509_cert_subject`	(non mappé)	Non mappé à l'objet IDM.
`agent`	(non mappé)	Non mappé à l'objet IDM.
`appid`	`additional.fields`	Valeur du champ `appid` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `appid`.
`app`	`target.application`	Valeur du champ `app` lorsque le journal n'est pas au format CEF. Si la valeur est `HTTPS`, `HTTP`, `DNS`, `DHCP` ou `SMB`, elle est mappée sur `network.application_protocol`.
`appact`	`additional.fields`	Valeur du champ `appact` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `appact`.
`appcat`	`additional.fields`	Valeur du champ `appcat` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `appcat`.
`applist`	`additional.fields`	Valeur du champ `applist` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `applist`.
`apprisk`	`additional.fields`	Valeur du champ `apprisk` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `apprisk`.
`cat`	`security_result1.rule_id`	Valeur du champ `cat` lorsque le journal n'est pas au format CEF.
`catdesc`	`security_result.description`	Valeur du champ `catdesc` lorsque le journal n'est pas au format CEF. Utilisé uniquement si `catdesc` n'est pas vide.
`centralnatid`	(non mappé)	Non mappé à l'objet IDM.
`cipher_suite`	`network.tls.cipher`	Valeur du champ `cipher_suite` lorsque le journal n'est pas au format CEF.
`countssl`	(non mappé)	Non mappé à l'objet IDM.
`crlevel`	`security_result.severity`	Valeur du champ `crlevel` lorsque le journal n'est pas au format CEF. Utilisé pour dériver `security_result.severity`.
`craction`	`security_result.about.labels`	Valeur du champ `craction` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `craction`.
`create_time`	(non mappé)	Non mappé à l'objet IDM.
`data`	(non mappé)	Données de journaux brutes. Non directement mappé sur l'UDM.
`date`	(non mappé)	Non mappé à l'objet IDM.
`devname`	`principal.hostname`, `principal.asset.hostname`	Valeur du champ `devname` lorsque le journal n'est pas au format CEF.
`devid`	(non mappé)	Non mappé à l'objet IDM.
`devtype`	(non mappé)	Non mappé à l'objet IDM.
`direction`	`network.direction`	Valeur du champ `direction` lorsque le journal n'est pas au format CEF. Si `incoming` ou `inbound`, alors `INBOUND`. Si `outgoing` ou `outbound`, alors `OUTBOUND`.
`dpt`	`target.port`	Valeur du champ `dpt` lorsque le journal est au format CEF.
`dstip`	`target.ip`, `target.asset.ip`	Valeur du champ `dstip` lorsque le journal n'est pas au format CEF.
`dstintf`	`security_result.detection_fields`	Valeur du champ `dstintf` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `dstintf`.
`dstintfrole`	`security_result.detection_fields`	Valeur du champ `dstintfrole` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `dstintfrole`.
`dstport`	`target.port`	Valeur du champ `dstport` lorsque le journal n'est pas au format CEF.
`dstregion`	`target.location.state`	Valeur du champ `dstregion` lorsque le journal n'est pas au format CEF.
`dstuuid`	`target.user.product_object_id`	Valeur du champ `dstuuid` lorsque le journal n'est pas au format CEF.
`duration`	`network.session_duration.seconds`	Valeur du champ `duration` lorsque le journal n'est pas au format CEF.
`dstcity`	`target.location.city`	Valeur du champ `dstcity` lorsque le journal n'est pas au format CEF.
`dstcountry`	`target.location.country_or_region`	Valeur du champ `dstcountry` lorsque le journal n'est pas au format CEF.
`dstmac`	`target.mac`	Valeur du champ `dstmac` lorsque le journal n'est pas au format CEF.
`eventtime`	`metadata.event_timestamp`	Valeur du champ `eventtime` lorsque le journal n'est pas au format CEF. La valeur est convertie de microsecondes en secondes.
`eventtype`	`security_result2.rule_type`	Valeur du champ `eventtype` lorsque le journal n'est pas au format CEF.
`externalID`	(non mappé)	Non mappé à l'objet IDM.
`group`	`principal.user.group_identifiers`	Valeur du champ `group` lorsque le journal n'est pas au format CEF.
`hostname`	`target.hostname`, `target.asset.hostname`	Valeur du champ `hostname` lorsque le journal n'est pas au format CEF.
`http_agent`	`network.http.parsed_user_agent`	Valeur du champ `http_agent` lorsque le journal n'est pas au format CEF. Converti en objet user-agent analysé.
`http_method`	`network.http.method`	Valeur du champ `http_method` lorsque le journal n'est pas au format CEF.
`http_refer`	`network.http.referral_url`	Valeur du champ `http_refer` lorsque le journal n'est pas au format CEF.
`http_request_bytes`	`network.sent_bytes`	Valeur du champ `http_request_bytes` lorsque le journal n'est pas au format CEF.
`http_response_bytes`	`network.received_bytes`	Valeur du champ `http_response_bytes` lorsque le journal n'est pas au format CEF.
`httpmethod`	`network.http.method`	Valeur du champ `httpmethod` lorsque le journal n'est pas au format CEF.
`in`	`network.received_bytes`	Valeur du champ `in` lorsque le journal est au format CEF.
`incidentserialno`	(non mappé)	Non mappé à l'objet IDM.
`lanin`	(non mappé)	Non mappé à l'objet IDM.
`lanout`	(non mappé)	Non mappé à l'objet IDM.
`level`	`security_result.severity`, `security_result.severity_details`	Valeur du champ `level` lorsque le journal n'est pas au format CEF. Utilisé pour dériver `security_result.severity`. Si `error` ou `warning`, alors `HIGH`. Si `notice`, alors `MEDIUM`. Si `information` ou `info`, alors `LOW`. Définit également `security_result.severity_details` sur `level:` + `level`.
`locip`	`principal.ip`, `principal.asset.ip`	Valeur du champ `locip` lorsque le journal n'est pas au format CEF.
`logdesc`	`metadata.description`	Valeur du champ `logdesc` lorsque le journal n'est pas au format CEF.
`logid`	`metadata.product_log_id`	Valeur du champ `logid` lorsque le journal n'est pas au format CEF.
`logver`	(non mappé)	Non mappé à l'objet IDM.
`mastersrcmac`	`principal.mac`	Valeur du champ `mastersrcmac` lorsque le journal n'est pas au format CEF.
`method`	(non mappé)	Non mappé à l'objet IDM.
`msg`	`metadata.description`	Valeur du champ `msg` lorsque le journal n'est pas au format CEF. Également utilisé pour `security_result.description` si `catdesc` est vide.
`out`	`network.sent_bytes`	Valeur du champ `out` lorsque le journal est au format CEF.
`outintf`	(non mappé)	Non mappé à l'objet IDM.
`policyid`	`security_result.rule_id`	Valeur du champ `policyid` lorsque le journal n'est pas au format CEF.
`policyname`	`security_result.rule_name`	Valeur du champ `policyname` lorsque le journal n'est pas au format CEF.
`policytype`	`security_result.rule_type`	Valeur du champ `policytype` lorsque le journal n'est pas au format CEF.
`poluuid`	(non mappé)	Non mappé à l'objet IDM.
`profile`	`target.resource.name`	Valeur du champ `profile` lorsque le journal n'est pas au format CEF. Définit également `target.resource.resource_type` sur `ACCESS_POLICY`.
`proto`	`network.ip_protocol`	Valeur du champ `proto` lorsque le journal n'est pas au format CEF. Analysé à l'aide du fichier `parse_ip_protocol.include`.
`qclass`	`network.dns.questions.class`	Valeur du champ `qclass` lorsque le journal n'est pas au format CEF. Mappé à l'aide du fichier `dns_query_class_mapping.include`.
`qname`	`network.dns.questions.name`	Valeur du champ `qname` lorsque le journal n'est pas au format CEF.
`reason`	`security_result.description`	Valeur du champ `reason` lorsque le journal n'est pas au format CEF. Utilisé uniquement si `reason` n'est pas `N/A` et n'est pas vide.
`rcvdbyte`	`network.received_bytes`	Valeur du champ `rcvdbyte` lorsque le journal n'est pas au format CEF.
`rcvdpkt`	`additional.fields`	Valeur du champ `rcvdpkt` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `receivedPackets`.
`remip`	`target.ip`, `target.asset.ip`	Valeur du champ `remip` lorsque le journal n'est pas au format CEF.
`remport`	(non mappé)	Non mappé à l'objet IDM.
`reqtype`	(non mappé)	Non mappé à l'objet IDM.
`sentbyte`	`network.sent_bytes`	Valeur du champ `sentbyte` lorsque le journal n'est pas au format CEF.
`sentpkt`	`additional.fields`	Valeur du champ `sentpkt` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `sentPackets`.
`service`	`network.application_protocol`, `target.application`	Valeur du champ `service` lorsque le journal n'est pas au format CEF. Analysé à l'aide du fichier `parse_app_protocol.include`. Si la sortie de l'analyseur n'est pas vide, elle est mappée sur `network.application_protocol`. Sinon, la valeur d'origine est mappée sur `target.application`.
`sessionid`	`network.session_id`	Valeur du champ `sessionid` lorsque le journal n'est pas au format CEF.
`sn`	(non mappé)	Non mappé à l'objet IDM.
`sourceTranslatedAddress`	`principal.nat_ip`	Valeur du champ `sourceTranslatedAddress` lorsque le journal est au format CEF.
`sourceTranslatedPort`	`principal.nat_port`	Valeur du champ `sourceTranslatedPort` lorsque le journal est au format CEF.
`spt`	`principal.port`	Valeur du champ `spt` lorsque le journal est au format CEF.
`src`	`principal.ip`	Valeur du champ `src` lorsque le journal est au format CEF.
`srcip`	`principal.ip`, `principal.asset.ip`	Valeur du champ `srcip` lorsque le journal n'est pas au format CEF.
`srcintf`	`security_result.detection_fields`	Valeur du champ `srcintf` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `srcintf`.
`srcintfrole`	`security_result.detection_fields`	Valeur du champ `srcintfrole` lorsque le journal n'est pas au format CEF, ajoutée en tant que paire clé-valeur avec la clé `srcintfrole`.
`srcmac`	`principal.mac`	Valeur du champ `srcmac` lorsque le journal n'est pas au format CEF. Les tirets sont remplacés par des deux-points.
`srcport`	`principal.port`	Valeur du champ `srcport` lorsque le journal n'est pas au format CEF.
`srccountry`	`principal.location.country_or_region`	Valeur du champ `srccountry` lorsque le journal n'est pas au format CEF. N'est mappé que si la valeur n'est pas `Reserved` et n'est pas vide.
`srcuuid`	`principal.user.product_object_id`	Valeur du champ `srcuuid` lorsque le journal n'est pas au format CEF.
`srcserver`	(non mappé)	Non mappé à l'objet IDM.
`start`	(non mappé)	Non mappé à l'objet IDM.
`status`	`security_result.summary`	Valeur du champ `status` lorsque le journal n'est pas au format CEF.
`subtype`	`metadata.product_event_type`	Utilisé avec `type` pour créer `metadata.product_event_type` lorsque le journal n'est pas au format CEF. Également utilisé pour dériver `metadata.event_type` et mapper des champs spécifiques pour les événements DNS et HTTP.
`time`	(non mappé)	Non mappé à l'objet IDM.
`timestamp`	`metadata.event_timestamp`	Valeur du champ `timestamp`.
`trandisp`	(non mappé)	Non mappé à l'objet IDM.
`transip`	(non mappé)	Non mappé à l'objet IDM.
`transport`	(non mappé)	Non mappé à l'objet IDM.
`type`	`metadata.product_event_type`	Utilisé avec `subtype` pour créer `metadata.product_event_type` lorsque le journal n'est pas au format CEF. Également utilisé pour dériver `metadata.event_type`.
`tz`	(non mappé)	Non mappé à l'objet IDM.
`ui`	(non mappé)	Non mappé à l'objet IDM.
`url`	`target.url`	Valeur du champ `url` lorsque le journal n'est pas au format CEF.
`user`	`principal.user.userid`	Valeur du champ `user` lorsque le journal n'est pas au format CEF. N'est mappé que si la valeur n'est pas `N/A` et n'est pas vide.
`utmaction`	`security_result.action`, `security_result2.action_details`	Valeur du champ `utmaction` lorsque le journal n'est pas au format CEF. Utilisé pour dériver `security_result.action` et `security_result.description`.
`utmaction`	`security_result.action`	Dérivé. Si `utmaction` est `accept`, `allow`, `passthrough`, `pass`, `permit` ou `detected`, alors `ALLOW`. Si `deny`, `dropped`, `blocked` ou `block`, alors `BLOCK`. Dans le cas contraire, `UNKNOWN_ACTION`.
`utmaction`	`security_result.description`	Dérivé. Définie sur `UTMAction:` + `security_result.action` dérivé si `action1` est vide.
`utmevent`	(non mappé)	Non mappé à l'objet IDM.
`vd`	`principal.administrative_domain`	Valeur du champ `vd` lorsque le journal n'est pas au format CEF.
`vpntunnel`	(non mappé)	Non mappé à l'objet IDM.
`wanin`	(non mappé)	Non mappé à l'objet IDM.
`wanout`	(non mappé)	Non mappé à l'objet IDM.
N/A (logique de l'analyseur)	`about.asset.asset_id`	Dérivé. Définissez sur `Fortinet.` + `product_name` + `:` + `deviceExternalId` lorsque le journal est au format CEF.
N/A (logique de l'analyseur)	`about.hostname`	Dérivé. Défini sur `auth0` lorsque le journal est au format CEF.
N/A (logique de l'analyseur)	`extensions.auth`	Dérivé. Un objet vide est créé lorsque `metadata.event_type` est `USER_LOGIN`.
N/A (logique de l'analyseur)	`extensions.auth.type`	Dérivé. Définie sur `AUTHTYPE_UNSPECIFIED` lorsque `metadata.event_type` est `USER_LOGIN`.
N/A (logique de l'analyseur)	`metadata.event_type`	Dérivé de divers champs de journaux et de la logique du parseur. Il peut s'agir de `NETWORK_CONNECTION`, `STATUS_UPDATE`, `GENERIC_EVENT`, `NETWORK_DNS`, `NETWORK_HTTP`, `USER_LOGIN`, `USER_LOGOUT` ou `NETWORK_UNCATEGORIZED`.
N/A (logique de l'analyseur)	`metadata.log_type`	Dérivé. Variable définie sur `FORTINET_FORTIANALYZER`.
N/A (logique de l'analyseur)	`metadata.product_event_type`	Dérivé. Définissez sur `type` + `-` + `subtype`.
N/A (logique de l'analyseur)	`metadata.product_name`	Dérivé. Définissez-le sur `Fortianalyzer` ou extrayez-le du message CEF.
N/A (logique de l'analyseur)	`metadata.product_version`	Extrait du message CEF.
N/A (logique de l'analyseur)	`metadata.vendor_name`	Dérivé. Variable définie sur `Fortinet`.
N/A (logique de l'analyseur)	`network.application_protocol`	Dérivé des champs `service` ou `app` à l'aide du fichier `parse_app_protocol.include`, ou défini sur `DNS` pour les événements DNS. Définissez également la valeur en fonction de `ad.app` si elle est égale à `HTTPS`, `HTTP`, `DNS`, `DHCP` ou `SMB`.
N/A (logique de l'analyseur)	`network.dns.questions`	Dérivé. Tableau d'objets de questions, chacun avec des champs `name`, `type` et `class`, renseignés pour les événements DNS.
N/A (logique de l'analyseur)	`network.http.parsed_user_agent`	Dérivé du champ `http_agent` en le convertissant en objet user-agent analysé.
N/A (logique de l'analyseur)	`network.ip_protocol`	Dérivé du champ `proto` à l'aide du fichier `parse_ip_protocol.include`.
N/A (logique de l'analyseur)	`principal.administrative_domain`	Valeur du champ `vd`.
N/A (logique de l'analyseur)	`principal.asset.ip`	Copié depuis `principal.ip`.
N/A (logique de l'analyseur)	`principal.asset.hostname`	Copié depuis `principal.hostname`.
N/A (logique de l'analyseur)	`security_result.about.labels`	Tableau de paires clé-valeur, renseigné avec `craction`, le cas échéant.
N/A (logique de l'analyseur)	`security_result.action`	Dérivé de `action` ou `utmaction`.
N/A (logique de l'analyseur)	`security_result.description`	Dérivé de `action`, `utmaction`, `msg`, `catdesc` ou `reason`, selon les champs disponibles et le format du journal.
N/A (logique de l'analyseur)	`security_result.severity`	Dérivé de `crlevel` ou `level`.
N/A (logique de l'analyseur)	`security_result.severity_details`	Dérivé. Définissez sur `level:` + `level`.
N/A (logique de l'analyseur)	`security_result.detection_fields`	Tableau de paires clé/valeur, rempli avec `srcintf`, `srcintfrole`, `dstintf` et `dstintfrole`, le cas échéant.
N/A (logique de l'analyseur)	`target.asset.ip`	Copié depuis `target.ip`.
N/A (logique de l'analyseur)	`target.asset.hostname`	Copié depuis `target.hostname`.
N/A (logique de l'analyseur)	`target.resource.resource_type`	Dérivé. Défini sur `ACCESS_POLICY` lorsque le champ `profile` est présent.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.